

# Amazon DynamoDB의 AWS 관리형 정책
<a name="ddb-security-iam.awsmanpol"></a>

DynamoDB는 AWS 관리형 정책을 사용하여 서비스가 특정 작업을 수행하는 데 필요한 권한 집합을 정의합니다. DynamoDB는 AWS 관리형 정책을 유지 관리하고 업데이트합니다. AWS 관리형 정책에서는 권한을 변경할 수 없습니다. AWS 관리형 정책에 대한 자세한 정보는 IAM 사용 설명서에서 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.

DynamoDB는 때때로 추가 권한을 AWS 관리형 정책에 추가하여 새로운 기능을 지원합니다. 이 유형의 업데이트는 정책이 연결된 모든 ID(사용자, 그룹 및 역할)에 적용됩니다. 새로운 기능이 출시되거나 새 작업을 사용할 수 있게 되면 AWS 관리형 정책이 업데이트될 가능성이 높습니다. DynamoDB는 AWS 관리형 정책에서 권한을 제거하지 않기 때문에 정책 업데이트로 인해 기존 권한이 손상되지 않습니다. AWS 관리형 정책의 전체 목록은 [AWS managed policies](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/policy-list.html)를 참조하세요.

## AWS 관리형 정책: DynamoDBReplicationServiceRolePolicy
<a name="ddb-security-iam.awsmanpol.policy"></a>

`DynamoDBReplicationServiceRolePolicy` 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 DynamoDB가 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 [글로벌 테이블에 IAM 사용](globaltables-security.md)을 참조하세요.

이 정책은 서비스 연결 역할이 글로벌 테이블 복제본 간에 데이터 복제를 수행할 수 있도록 하는 권한을 부여합니다. 또한 사용자 대신 글로벌 테이블 복제본을 관리할 수 있는 관리 권한도 부여합니다.

**권한 세부 정보**

이 정책은 다음을 수행할 수 있는 권한을 부여합니다.
+ `dynamodb` - 데이터 복제를 수행하고 테이블 복제본을 관리합니다.
+ `application-autoscaling` - 테이블 Auto Scaling 설정을 검색하고 관리합니다.
+ `account` - 복제본 접근성을 평가하기 위해 리전 상태를 검색합니다.
+ `iam` - 서비스 연결 역할이 아직 없는 경우 애플리케이션 Auto Scaling을 위한 서비스 연결 역할을 생성합니다.

이 관리형 정책의 정의는 [여기](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/DynamoDBReplicationServiceRolePolicy.html)에서 확인할 수 있습니다.

## AWS 관리형 정책: AmazonDynamoDBFullAccess\$1v2
<a name="ddb-security-iam.awsmanpol.fullaccesspolicy-v2"></a>

범위 축소 `AmazonDynamoDBFullAccess_v2` 정책은 사용자에게 특정 액세스 권한을 부여합니다. `AmazonDynamoDBFullAccess_v2` 정책을 IAM ID에 연결할 수 있습니다. 이 정책은 Amazon DynamoDB 리소스에 대한 관리 액세스 권한을 부여하고, 모든 DynamoDB 기능을 사용하기 위해 DynamoDB와 통합되는 AWS 서비스에 대한 액세스 권한을 IAM ID(예: 사용자, 그룹 또는 역할)에 부여합니다. 이 정책을 사용하면 AWS Management Console에서 사용할 수 있는 모든 DynamoDB 기능에 액세스할 수 있습니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `Amazon DynamoDB`
+ `DynamoDB Accelerator`
+ `AWS KMS`
+ `AWS Resource Groups Tagging`
+ `Lambda`
+ `Application Auto Scaling`
+ `CloudWatch`
+ `Amazon Kinesis`
+ `Amazon EC2`
+ `IAM`

`JSON` 형식으로 정책을 검토하려면 [AmazonDynamoDBFullAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBFullAccess_v2.html)를 참조하세요.

## AWS 관리형 정책: AmazonDynamoDBReadOnlyAccess
<a name="ddb-security-iam.awsmanpol.readonlypolicy"></a>

`AmazonDynamoDBReadOnlyAccess` 정책을 IAM ID에 연결할 수 있습니다.

이 정책은 Amazon DynamoDB에 대한 읽기 전용 액세스 권한을 부여합니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `Amazon DynamoDB` - Amazon DynamoDB에 대한 읽기 전용 액세스 권한을 제공합니다.
+ `Amazon DynamoDB Accelerator (DAX)` - Amazon DynamoDB Accelerator(DAX)에 대한 읽기 전용 액세스 권한을 제공합니다.
+ `Application Auto Scaling` - 보안 주체가 Application Auto Scaling의 구성을 볼 수 있도록 허용합니다. 이는 사용자가 테이블에 첨부된 자동 조정 정책을 볼 수 있도록 하기 위해 필요합니다.
+ `CloudWatch` – 보안 주체가 CloudWatch에서 구성된 지표 데이터와 경보를 볼 수 있도록 허용합니다. 이는 사용자가 청구 가능한 테이블 크기 및 테이블에 구성된 CloudWatch 경보를 볼 수 있도록 하기 위해 필요합니다.
+ `AWS Data Pipeline` - 보안 주체가 AWS Data Pipeline 및 관련 객체를 보도록 허용합니다.
+ `Amazon EC2` - 보안 주체가 Amazon EC2 VPC, 서브넷, 보안 그룹을 보도록 허용합니다.
+ `IAM` - 보안 주체가 IAM 역할을 보도록 허용합니다.
+ `AWS KMS` - 보안 주체가 AWS KMS에 구성된 키를 볼 수 있도록 허용합니다. 이는 사용자가 자신의 계정에서 생성하고 관리하는 AWS KMS keys를 볼 수 있도록 하기 위해 필요합니다.
+ `Amazon SNS` - 보안 주체가 Amazon SNS 주제 및 주제별 구독을 나열하도록 허용합니다.
+ `AWS Resource Groups` - 보안 주체가 리소스 그룹 및 해당 쿼리를 보도록 허용합니다.
+ `AWS Resource Groups Tagging` - 보안 주체가 한 리전에서 태그가 지정되어 있거나 이전에 태그가 지정되었던 리소스를 모두 나열하도록 허용합니다.
+ `Kinesis` - 보안 주체가 Kinesis 데이터 스트림 설명을 보도록 허용합니다.
+ `Amazon CloudWatch Contributor Insights` - 보안 주체가 Contributor Insights 규칙이 수집한 시계열 데이터를 보도록 허용합니다.

정책을 `JSON` 형식으로 검토하려면 [AmazonDynamoDBReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBReadOnlyAccess.html)를 참조하세요.

## AWS 관리형 정책으로 DynamoDB 업데이트
<a name="ddb-security-iam.awsmanpol.updates"></a>

이 표는 DynamoDB의 AWS 액세스 관리 정책에 대한 업데이트를 보여 줍니다.


****  

| 변경 | 설명 | 변경 날짜 | 
| --- | --- | --- | 
| AmazonDynamoDBFullAccess - 사용 중단됨 | 이 정책은 범위가 축소된 `AmazonDynamoDBFullAccess_v2`라는 정책으로 대체되었습니다. **2025년 4월** 이후에는 새 사용자, 그룹 또는 역할에 `AmazonDynamoDBFullAccess` 정책을 연결할 수 없습니다. 자세한 내용은 [AWS 관리형 정책: AmazonDynamoDBFullAccess\$1v2](#ddb-security-iam.awsmanpol.fullaccesspolicy-v2) 섹션을 참조하세요.  | 2025년 4월 28일 | 
| AmazonDynamoDBReadOnlyAccess기존 정책에 대한  업데이트 | AmazonDynamoDBReadOnlyAccess가 dynamodb:GetAbacStatus 및 dynamodb:UpdateAbacStatus 권한을 추가했습니다. 이러한 권한을 통해 ABAC 상태를 보고 현재 리전의 AWS 계정에 ABAC를 활성화할 수 있습니다. | 2024년 11월 18일 | 
| AmazonDynamoDBReadOnlyAccess기존 정책에 대한  업데이트 | AmazonDynamoDBReadOnlyAccess가  권한을 추가했습니다.dynamodb:GetResourcePolicy 이 권한은 DynamoDB 리소스에 연결된 리소스 기반 정책을 읽을 수 있는 액세스를 제공합니다. | 2024년 3월 20일 | 
| 기존 정책에 대한 DynamoDBReplicationServiceRolePolicy 업데이트 | DynamoDBReplicationServiceRolePolicy가  권한을 추가했습니다.dynamodb:GetResourcePolicy 이 권한을 사용하면 서비스 연결 역할이 DynamoDB 리소스에 연결된 리소스 기반 정책을 읽을 수 있습니다. | 2023년 12월 15일 | 
| 기존 정책에 대한 DynamoDBReplicationServiceRolePolicy 업데이트 | DynamoDBReplicationServiceRolePolicy가 account:ListRegions 권한을 추가했습니다. 이 권한을 사용하면 서비스 연결 역할이 복제본 접근성을 평가할 수 있습니다. | 2023년 5월 10일 | 
| 관리형 정책 목록에 DynamoDBReplicationServiceRolePolicy 추가됨 | DynamoDB 글로벌 테이블 서비스 연결 역할에서 사용하는 관리형 정책 DynamoDBReplicationServiceRolePolicy에 대한 정보가 추가되었습니다. | 2023년 5월 10일 | 
| DynamoDB 글로벌 테이블 변경 사항 추적 시작 | DynamoDB 글로벌 테이블이 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2023년 5월 10일 |